Дамп памяти оперативной памяти. Как открыть и прочитать дамп памяти в ОС Windows 10, какой лучше поставить

править код]

Когда в Windows происходит ошибка в ядре операционной системы, ОС не может продолжать свою работу, что приводит к так именуемому голубому экрану погибели (англ. BSoD). Во время показа этого экрана идёт запись дампа режима ядра (англ. kernel-mode dump). Тип записываемого дампа задаётся в свойствах системы во вкладке «Загрузка и восстановление». Windows поддерживает три режима записи дампа, различающиеся объёмом сохраняемой информации:

  • Полный дамп системы (англ. Complete Memory Dump) — содержит всю физическую память системы. Есть препядствия при записи такового дампа, ежели в системе наиболее 4Гб ОЗУ (это соединено с тем, что 32 бита могут адресовать максимум 4Гб). Традиционно записывается в файл C:WindowsMEMORY.DMP;
  • Дамп памяти ядра (англ. Kernel Memory Dump) — содержит всю память, которую употребляет ядро системы;
  • Малый дамп памяти (англ. Small Memory Dump) — содержит различную информацию, к примеру, стоп-код, характеристики ошибки, перечень загруженных драйверов и т. п. Традиционно записывается в папке C:WindowsMinidump.

Дамп пользовательского режима[править

Криминалистический анализ слепков оперативной памяти

Компьютер, телефон, планшет и остальные цифровые носители инфы сейчас есть у каждого, от мала до велика. Логично, что, как это бывает со всем в нашей жизни, с их помощью не лишь созидают разумное, доброе, вечное, но и делают не совершенно правильные и отличные вещи. В случае нелегального использования цифрового устройства либо же когда злодей употреблял такое устройство при подготовке либо совершении злодеяния, данные на устройстве могут послужить доказательством его вины — так именуемым цифровым доказательством.

Исчезающие улики

Что происходит, когда на месте преступления находится работающий компьютер? В большинстве случаев следователь просто его выключит. В предстоящем учить этот комп будет эксперт по исследованию компьютерной инфы, а совсем не следователь. Все, что остается «на руках» у профессионала, — это твердый диск. К огорчению, при таком подходе навсегда теряется доступ к большущему количеству «эфемерных» улик, безвозвратно исчезающих при выключении питания. Эти улики — данные, хранящиеся в ОЗУ.

Выключая комп, не сняв предварительно слепок оперативной памяти, следственные органы могут никогда не узреть крайних сообщений, отправленных подозреваемым через социальные сети. Пропадут ключи, с помощью которых могут быть зашифрованы криптоконтейнеры. Ежели употреблялся режим «приватности», эксперт никогда не увидит веб-сайтов, открытых в момент выключения питания. Будут безвозвратно утрачены и почти все остальные данные.

Все, что необходимо, чтоб не утратить эти и почти все остальные улики, — сохранить образ оперативной памяти в файл.

Что можно отыскать в оперативной памяти

Если хорошо поискать, в оперативной памяти компа можно отыскать самые нежданные вещи. К примеру, ключи, с помощью которых получится одномоментно расшифровать содержимое криптоконтейнеров TrueCrypt, BitLocker и PGP Disk. Таковая функция находится, к примеру, в програмке отечественной разработки Elcomsoft Forensic Disk Decryptor. А вот атака на зашифрованные данные «в лоб» займет млрд лет — в конце концов, мастера собственного дела работали долгие годы, стараясь защититься в первую очередь конкретно от атаки перебором.

В оперативной памяти содержатся крайние сообщения, приобретенные и отправленные через социальные сети; комменты, оставленные на форумах; сообщения, переданные с помощью программ моментального обмена сообщениями либо с внедрением чатов, интегрированных в электронные игры. Там можно отыскать информацию о крайних скачанных файлах. В памяти компа какое-то время хранятся странички и изображения с сайтов — даже ежели в браузере включен режим защиты приватности, отключен кеш и сохранение истории посещений. Не считая того, доступно огромное количество системной инфы, загруженные ветки реестра, распакованные и расшифрованные версии защищенных программ, информация о открытых сетевых соединениях. Ежели комп заражен вирусом либо на нем запущена троянская программа, то при исследовании вида памяти их будет отлично видно.

Как снимается образ памяти

Сохранение содержимого оперативной памяти компа для следующего исследования — нужный шаг в работе «цифрового» криминалиста. Создание вида памяти занимает минутки и при должном уровне технического обеспечения осуществляется одной клавишей. При этом «должный уровень технического обеспечения» расшифровывается чрезвычайно просто: довольно хоть какой USB-флешки, способной вполне вместить содержимое оперативной памяти, и маленькой программы — к примеру бесплатной утилиты русской разработкиBelkasoft Live RAM Capturer.

При снятии вида оперативной памяти следователю необходимо учесть ряд тонкостей. К примеру, для этого нельзя применять программы, запущенные в обыкновенном пользовательском режиме, и вот почему.

Многие программы, включая популярные многопользовательские игры, системы сохранности, а также вредное ПО, защищают свои процессы от исследования с помощью отладочных инструментов (например, игра Karos). В таковых програмках употребляются активные системы противодействия отладке, способные найти и предотвратить попытку остальных программ считать данные из защищенных областей памяти. В лучшем случае попытка использования отладчика не удается — заместо интересующей исследователя инфы в защищенной области обнаруживаются нули либо случайные данные. В худшем случае происходит зависание либо перезагрузка компа, делающие предстоящее исследование невозможным.

Поэтому пуск утилиты, работающей в пользовательском режиме, с определенной вероятностью приведет к тому, что интересующие профессионала данные извлечь не получится, а при самом нехорошем развитии событий они будут безвозвратно уничтожены. Для предотвращения схожей ситуации криминалистам приходится употреблять спец программы и инструменты — к примеру CaptureGUARD Gateway, WindowsSCOPE стоимостью порядка 5 тыщ баксов либо бесплатный Belkasoft Live RAM Capturer. Обойти активные виды защиты от отладки способны лишь инструменты, запущенные в привилегированном режиме ядра операционной системы. Спец программы включают 32- и 64-разрядные драйверы, работающие в режиме ядра и дозволяющие корректно обрабатывать области данных, принадлежащие защищенным процессам.

Многие платные (и очень дорогие) криминалистические продукты (в основном забугорного производства) имеют в собственном составе программы, дозволяющие снимать слепки памяти. При этом такие программы работают в пользовательском режиме и для настоящего использования криминалистом совсем непригодны. Во время криминалистических конференций нередко возникает вопрос: почему производители недешевых аналитических пакетов поставляют очевидно неработоспособные инструменты? Производители хранят молчание.

А вот уже упомянутый Live RAM Capturer русской компании «Белкасофт» не стоит ни копейки, но выполняет всю нужную работу в режиме ядра. Скачать его можно с официального веб-сайта — ru.belkasoft.com/ru/memory-dump.

А ежели комп запаролен?

Снять образ памяти просто, ежели доступ к компу открыт либо ежели криминалисту известен пароль от хоть какой реальной учетной записи. Но что, ежели доступ к компу закрыт неизвестным паролем, а времени на его взлом чертовски не хватает? В этом случае на помощь профессионалу приходит методика, описанная австрийскими исследователями. Отвлечемся на минутку от расследования преступлений и поглядим в сторону железа. В большинстве современных компов есть один либо несколько портов IEEE 1394, узнаваемых также под наименованиями FireWire либо i.LINK. Эталон FireWire обрисовывает возможность прямого доступа к оперативной памяти компа через канал DMA. Что значит наличие «прямого доступа» к памяти? Для криминалиста это значит возможность скопировать ее содержимое независимо от того, закрыт комп паролем либо нет.

Итак, ежели комп подозреваемого закрыт паролем, а криминалисту нужно снять образ оперативной памяти, криминалист подключает свой комп к компу подозреваемого с внедрением самого обыденного кабеля FireWire. На компе криминалиста запускается программа (самые обыкновенные эталоны, к примеру Inception либо pyfw, написанный на языке Python, доступны в открытом доступе; вообщем, криминалисты употребляют наиболее продвинутый софт), с помощью которой все содержимое оперативной памяти исследуемой машинки скачивается на комп следователя. Этот метод можно опробовать без помощи других. К примеру, юзеры Linux и OS X могут пользоваться бесплатной утилитой Inception.

А что, ежели на компе подозреваемого нет порта FireWire? В этом случае криминалист может применять свою карту-адаптер. Ежели выбрать довольно всераспространенную модель, то система подгрузит надлежащие драйверы автоматом. К огорчению, корректную работу нам обеспечит лишь адаптер с интерфейсом PCMCIA, CardBus либо ExpressCard, так как лишь эти интерфейсы предоставляют прямой доступ к памяти компа. Адаптеры, работающие через USB, данной нам способности лишены и для криминалиста непригодны. В конце концов, в качестве курьеза можно привести ссылку на работу германских исследователей, взломавших комп с внедрением самого обыденного телефона iPhone, — bit.ly/60FDdS.

Есть ли защита от атаки через FireWire? Методы защититься от таковой атаки есть, и они издавна известны: требуется только тем либо другим методом отключить поддержку FireWire в то время, когда комп «спит» либо закрыт паролем. Компы под управлением крайних версий OS X делают это автоматом, заблокируя драйверы FireWire , пока юзер не зайдет на комп со своими логином и паролем. А вот в Windows и остальных операционных системах ситуация обратная: производители этих систем работу драйверов FireWire не блокируют; соответственно, даже Windows 8 со всеми крайними обновлениями остается уязвимой.

Ограничения

Анализ оперативной памяти не панацея. Природа оперативной памяти такая, что данные хранятся в ней только чрезвычайно короткое время. Через несколько минут, в последнем случае — часов (если комп не использовался) данные могут быть вытеснены либо перезаписаны иной информацией. Потому снимать слепок памяти необходимо «по свежайшим следам». А вот с анализом снятого вида можно не спешить — файл с флешки уже никуда не денется.

Что дальше? Анализируем содержимое оперативной памяти

Образ оперативной памяти снят. Что дальше? Образ памяти, приобретенный с помощью правильного инструмента, может быть проанализирован одним из специализированных криминалистических товаров. Исследование вида оперативной памяти компа дозволяет криминалистам обнаруживать данные, не попадающие на твердый диск, такие как переписка в чатах, общение в соц сетях и играх, изображения, историю работы в браузере, данные реестра, переговоры в онлайновых многопользовательских играх и почти все другое.

Инструментарий выбирается профессионалом в зависимости от того, что конкретно требуется найти. К огорчению, на нынешний день всепригодного решения не существует. Какие-то программы разрешают извлечь ключи, с помощью которых можно расшифровать криптоконтейнеры. Остальные разрешают отыскать сообщения, отправленные юзером компа через социальные сети, почту либо программы моментального обмена сообщениями.

Существуют инструменты для восстановления анализа изображений, которые просматривал подозреваемый (кстати, с помощью такового инструмента был изобличен по последней мере один педофил, вышедший на свободу опосля существенного срока. Тот же инструмент посодействовал оправдать подозреваемого, которого оклеветала супруга во время бракоразводного процесса). В конце концов, есть программы, с помощью которых можно вернуть информацию о сетевых соединениях, бывших активными в момент снятия образа.

Поиск и анализ фотографий

При ведении расследований, связанных с преступлениями на сексапильной почве, следователю принципиально выяснить, какие изображения (фотографии) просматривал подозреваемый. Исследование твердого диска помогает не всегда: интересующий следователя раздел может быть зашифрован, а в браузере может быть включен режим «приватности» (или «инкогнито» по версии Chrome). Сущность схожих режимов схожа во всех браузерах: никакая информация о действиях юзера в вебе на твердый диск не попадает. Соответственно, при выключении компа (или закрытии браузера) все данные пропадают.

Тем не наименее кое-где эти данные все же хранятся, и в данной для нас ситуации анализ слепка оперативной памяти тоже может посодействовать. Изображения ищутся способом сигнатурного поиска. Этот механизм чрезвычайно похож на то, как работают антивирусы: для поиска изображений употребляется набор сигнатур, которые встречаются в том либо ином графическом формате. Скажем, в начале всех файлов в формате JPEG встречается сигнатура JFIF. Обнаружив сигнатуру, метод анализирует примыкающие байты данных. Ежели данные указывают на то, что обнаруженный фрагмент принадлежит файлу в известном програмке формате, метод разглядывает набор данных в качестве заголовка файла, вычисляя его размер и характеристики. Остальное — дело техники.

Выглядит просто? Вправду, воплотить схожий метод нетрудно, и конкретно им пользуется подавляющее большая часть разрабов криминалистических программ. Но тут имеется не просто подводный камень, а целый большой подводный риф. Дело в том, что Windows далековато не постоянно хранит огромные объемы данных в виде непрерывной последовательности. Заместо этого операционная система записывает данные в любые вольные странички памяти — и далековато не факт, что странички эти будут размещены поочередно. Обычный метод сигнатурного поиска может найти заголовок файла, но его содержимое обычными методами будет вернуть нереально. Конкретно потому обычный метод именуется «наивным».

На помощь криминалисту приходит набор эвристических алгоритмов, собирающих фото из множества маленьких фрагментов по принципу мозаики. Такие методы реализованы в российском криминалистическом пакете Belkasoft Evidence Center, при этом сложность их реализации такая, что альтернатив в реальный момент просто не существует. Итог тут гарантируется не постоянно, а работают такие методы в 10-ки раз медлительнее обыденного сигнатурного поиска. Вообщем, итог того стоит — ведь тратится доступное машинное время, а не ручная работа эксперта.

Программы для поиска улик в памяти компьютера

Для анализа оперативной памяти специалисты употребляют последующие главные программы:

  • Belkasoft Evidence Center www.belkasoft.com — поиск чатов, постингов и комментариев, оставленных в соц сетях; сообщений, отправленных через бессчетные программы моментального обмена сообщений, и почти всех остальных типов улик. Русская разработка;
  • Elcomsoft Forensic Disk Decryptor www.elcomsoft.com — инструмент, позволяющий одномоментно расшифровывать содержимое криптоконтейнеров TrueCrypt, BitLocker и PGP Disk. Также русская разработка;
  • Passware Kit Forensic www.passware.com — инструмент, позволяющий одномоментно расшифровывать содержимое криптоконтейнеров TrueCrypt, BitLocker и PGP Disk. Умеет снимать образ памяти с помощью FireWire-атаки. Русская разработка;
  • Guidance EnCase www.guidancesoftware.com — мощный аналитический пакет, позволяющий собирать и обрабатывать почти все типы улик. Де-факто является обычным инвентарем, использующимся в американской милиции. Разработка США.

Бумажная работа

Работа эксперта-криминалиста только в малой части состоит из поиска и анализа улик. Приметная часть времени тратится на документирование процесса: это нужно для того, чтоб отысканные улики смогли быть представлены в суде в качестве вещественных доказательств.

Для того чтоб собранные улики перевоплотился в твердую доказательную базу, профессионалу приходится не лишь тщательно документировать каждый собственный шаг, но и быть готовым выступить в суде, доказывая обоснованность использования тех либо других способов и инструментов.

Использование программ для снятия вида оперативной памяти безизбежно оставляет следы в памяти компа. Сама программа занимает место в памяти, а раз так — какое-то количество уникальных данных будет вытеснено (перезаписано). Потому необходимо применять програмку с наименьшим объемом занимаемой оперативной памяти, а сам факт частичной перезаписи содержимого требуется кропотливо задокументировать. Еще совершенно не так давно суды отрешались принимать в качестве вещественных доказательств данные, которые были изменены в процессе их получения. На данный момент ситуация меняется: суды начинают осознавать, что в неких вариантах нереально сделать омлет, не разбив яйцо.

Анализ работающего компа либо исследование содержимого твердого диска?

Как было сказано выше, анализ запущенной машинки безизбежно влияет на содержимое оперативной памяти. Во почти всех вариантах могут поменяться и данные, записанные на твердом диске. И тем не наименее в неких вариантах спецы не торопятся выключать компьютер.

Когда же нужно проводить анализ запущенного компьютера? Как правило, к такому анализу прибегают в вариантах, когда на твердом диске компа не ждут отыскать существенных улик, а вот исследование данных, доступных через открытые на компе сетевые соединения, способно принести приметные дивиденды.

При выключении компа пропадает доступ к наружным сетевым ресурсам и VPN-сессиям. Ежели комп употреблялся как терминал, а настоящие данные хранятся кое-где на удаленном сервере, профессионалу приходится анализировать технику вживую. С таковым методом анализа соединено огромное количество рисков, а для его проведения требуется эксперт высокой квалификации (и разрешение суда). Соответственно, прибегают к исследованию запущенного компа нечасто.

Конфискуем компьютер

Поставим себя на место эксперта-криминалиста. Имеется работающий комп, нам необходимо изучить его содержимое. Наши действия?

До недавнего времени комп выключали (зачастую — просто обесточивали, чтоб не отдать сработать програмкам, очистительным лог-файлы при завершении рабочей сессии), опосля чего же из него извлекали все твердые диски, которые подключали к устройству, блокирующему операции записи. С дисков снимали виртуальные образы, и уже с ними в размеренной обстановке работал эксперт.

С развитием технологии этот метод устарел. Вот, к примеру, какие советы дает официальная аннотация ACPO (Association of Chief Police Officers) английским полицейским:

  • Провести оценку рисков. Есть ли необходимость и возможность снять копию эфемерных данных?
  • Если возможность существует, установить устройство для снятия слепка оперативной памяти (флешка, наружный диск и тому подобное).
  • Запустить програмку для снятия вида памяти.
  • По завершении работы программы корректно приостановить работу устройства.
  • Извлечь устройство, использованное для снятия вида памяти.
  • Проверить правильность сохраненного вида (для этого в неотклонимом порядке употребляется комп следователя, а не комп, который анализирует эксперт).
  • После проверки снятого вида немедля перейти к процедуре выключения компьютера.

Что можно выяснить о телефоне, положив его в морозилку

Забавное исследование провели германские ученые. При анализе оперативной памяти телефона под управлением операционной системы Android они употребляли бытовую морозильную камеру (bit.ly/Xa9XXN).

Идея заморозитьтелефон связана с возникновением в системе Android 4.0 способности шифрования разделов. Эта функция не дозволяет исследователю получить доступ к инфы, записанной в заблокированном телефоне, без введения корректного пароля. Так как подбор пароля — дело долгое и неблагодарное, исследователи решили поискать метод обойти защиту.

Точно так же, как и в ставших уже обычными криптоконтейнерах, ключи для расшифровки записанных в телефоне данных хранятся в оперативной памяти устройства. Ежели бы была возможность извлечь эти ключи, исследователи смогли бы употреблять их для расшифровки содержимого устройства.

Возможность снять образ оперативной памяти устройства под управлением Android существует: для этого телефон переводится в особый отладочный режим fastboot; в память инсталлируется особая программа, и образ оперативной памяти можно скачать через USB. Неувязка тут в том, что при перезагрузке телефона в отладочный режим содержимое оперативной памяти успевает обнулиться.

Чтобы замедлить процесс обнуления памяти, ученые положили телефон в морозилку, заморозив его до температуры –15 градусов. При таковой низкой температуре ячейки памяти меняют состояние чрезвычайно медлительно. Соответственно, при выключении охлажденного телефона и мгновенной его перезагрузке в отладочный режим содержимое оперативной памяти не успевает обнулиться. Опыт оказался удачным: исследователям удалось извлечь из телефона двоичные ключи, с помощью которых были зашифрованы разделы с пользовательскими данными.

Подробнее о этом опыте можно прочесть на веб-сайте института. Там же доступен пакет программ FROST, с помощью которого скачивается образ оперативной памяти и извлекаются крипто-ключи: bit.ly/Xa9XXN

Заключение

Работа «цифрового» криминалиста увлекательна и необыкновенна. Обученных профессионалов не хватает постоянно и везде. На одной американской конференции начальник городского полицейского управления сетовал на плотность графика компьютерных криминалистов: на исследование каждого конфискованного устройства эксперт может уделить не наиболее сорока минут. Что можно успеть сделать за 40 минут? С внедрением программ, обрисованных в данной для нас статье, — чрезвычайно и чрезвычайно немало.

 

Покажи эту статью друзьям:

Check Also

Биты защиты. Разбираем методы защиты микроконтроллеров

Если ты занимался микроконтроллерами, то, естественно, слышал о битах конфигурации. Для разных…

  • Программа Dementia стирает улики в RAM

    Как лишь специалисты пробуют сделать дамп памяти обычными средствами, программа Dement…
    3 мин на чтение
  • Очистка оперативной памяти от улик

    Содержание статьиЧТО ЭТО ТАКОЕЗАЧЕМ ЭТО НУЖНОКАК ЭТО РАБОТАЕТ ЧТО ЭТО ТАКОЕ Консульта…
    3 мин на чтение
  • Новая программа «Элкомсофта» расшифровывает криптоконтейеры BitLocker, PGP и TrueCrypt

    Программа Elcomsoft Forensic Disk Decryptor извлекает ключи шифрования из дампа памяти или…
    4 мин на чтение
  • Сотрудники PGP снова нападают на «Элкомсофт»

    Несколько дней назад русская компания «Элкомсофт» выпустила комфортную програмку Elcomsoft…
    4 мин на чтение
  • «Элкомсофт» опоздал на 6 лет

    Ещё в 2007 году вышла программа Forensic Toolkit, которая достаточно удачно восстанавливала…
    3 мин на чтение
  • Microsoft и ФБР убили наиболее 1000 ботнетов Citadel

    О главном подозреваемом в деле Citadel известен лишь ник — Aquabox. Предполагается, что …
    3 мин на чтение

править код]

Английский термин core dump практически переводится как «выгрузка содержимого ядра»: на ранешних компах дамп означал принтерную распечатку содержимого памяти на магнитных сердечниках (англ. magnetic core memory). Классическая игра NetHack содержит…

Читайте также  Пульт на телефоне как настроить. 5 простых способов сделать из смартфона пульт для телевизора

Оставьте комментарий